Erasure Code 計算機 
參考硬體 外部身分管理
MinIO 透過以下身分提供者 (IDP) 支援多個外部身分管理員
以下教學課程針對選定的 IDP 軟體提供具體指導
使用者可以使用其外部管理憑證和相關的 安全權杖服務 (STS) API 對 MinIO 進行身分驗證。身分驗證後,MinIO 會嘗試將使用者與一個或多個已設定的 原則 建立關聯。沒有關聯原則的使用者對 MinIO 部署沒有任何權限。
OpenID Connect (OIDC)
MinIO 支援使用與 OpenID Connect (OIDC) 相容的身分提供者 (IDP),例如 Okta、KeyCloak、Dex、Google 或 Facebook,來外部管理使用者身分。設定外部 IDP 可啟用單一登入工作流程,應用程式會先對外部 IDP 進行身分驗證,然後才能存取 MinIO。
MinIO 使用 基於原則的存取控制 (PBAC) 來定義已通過身分驗證的使用者可存取的動作和資源。MinIO 支援建立和管理外部管理使用者可以宣告的 原則。
對於由外部與 OpenID Connect (OIDC) 相容的提供者管理的身分,MinIO 使用 JSON Web 權杖宣告 來識別要指派給已通過身分驗證的使用者的 原則。
MinIO 預設會尋找 policy 宣告,並讀取一個或多個要指派的政策列表。MinIO 會嘗試將現有的政策與 JWT 宣告中指定的政策進行匹配。如果 MinIO 部署中不存在任何指定的政策,MinIO 將拒絕該使用者發出的任何和所有操作的授權。例如,考慮一個具有以下鍵值分配的宣告:
policy="readwrite_data,read_analytics,read_logs"
指定的政策宣告會指示 MinIO 將名稱與 readwrite_data、read_analytics 和 read_logs 相符的政策附加到已驗證的使用者。
有關將 MinIO 政策對應到 OIDC 管理身分的更多資訊,請參閱OpenID Connect 存取管理。
您可以使用 JWT 除錯工具來解碼傳回的 JWT 權杖,並驗證使用者屬性是否包含指定的宣告。有關 JWT 宣告的更多資訊,請參閱 RFC 7519:JWT 宣告。請參閱您偏好的 OIDC 提供者的文件,以獲取有關設定使用者宣告的說明。
Active Directory / LDAP
MinIO 支援使用 Active Directory 或 LDAP (AD/LDAP) 服務來進行使用者身分外部管理。設定外部身分提供者 (IDP) 可啟用單一登入 (SSO) 工作流程,其中應用程式在存取 MinIO 之前會先對外部 IDP 進行驗證。
查詢 Active Directory / LDAP 服務
MinIO 會查詢已設定的 Active Directory / LDAP 伺服器,以驗證應用程式指定的認證,並選擇性地傳回使用者所屬群組的列表。此程序稱為「查詢綁定模式」,使用具有最少權限的 AD/LDAP 使用者,僅足以與 AD/LDAP 伺服器進行驗證,以進行使用者和群組查詢。
AD/LDAP 管理身分的存取控制
MinIO 使用基於政策的存取控制 (PBAC)來定義已驗證使用者可以存取的動作和資源。當使用 Active Directory/LDAP 伺服器進行身分管理 (驗證) 時,MinIO 會通過 PBAC 維持對存取 (授權) 的控制。
當使用者使用其 AD/LDAP 認證成功驗證到 MinIO 時,MinIO 會搜尋明確關聯到該使用者辨別名稱 (DN) 的所有政策。具體而言,必須使用 mc idp ldap policy attach 命令,將政策指派給具有匹配 DN 的使用者。
MinIO 也支援查詢使用者的 AD/LDAP 群組成員資格。MinIO 會嘗試將現有政策與每個使用者群組的 DN 進行匹配。已驗證使用者的完整權限集包括其明確指派和群組繼承的政策。有關更多資訊,請參閱群組查詢。
MinIO 使用預設拒絕行為,其中沒有明確指派或群組繼承政策的使用者無法存取 MinIO 部署上的任何資源。
MinIO 提供內建政策以進行基本存取控制。您可以使用 mc admin policy create 命令來建立新政策。
群組查詢
MinIO 支援查詢 Active Directory / LDAP 伺服器,以取得已驗證使用者所屬群組的列表。MinIO 會嘗試將現有政策與每個群組 DN 進行匹配,並將每個匹配的政策指派給已驗證的使用者。
MinIO 操作員主控台提供必要的欄位,以設定群組查詢,作為為新的或現有的 MinIO 租戶設定 AD/LDAP 身分管理的一部分。
